CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione
A seguito della recente divulgazione di CVE-2025-47981, una vulnerabilità critica di buffer overflow heap-based nel meccanismo SPNEGO Extended Negotiation di Windows, i team di sicurezza si trovano ora ad affrontare un’altra grave minaccia: questa volta riguarda il firewall applicativo web FortiWeb di Fortinet. Etichettata come CVE-2025-25257, con punteggio CVSS di 9.6, questa vulnerabilità consente un’iniezione SQL non autenticata, permettendo all’attaccante di eseguire comandi SQL arbitrari tramite richieste HTTP o HTTPS appositamente progettate.
L’exploit delle vulnerabilità rimane un metodo principale utilizzato dagli aggressori per ottenere l’accesso iniziale alle reti target. Nel 2025, tali attività sono aumentate del 34% rispetto all’anno precedente, contribuendo all’incremento degli incidenti di sicurezza. Con PoC (Proof-of-Concept) per CVE-2025-25257 già disponibili online, un rilevamento tempestivo è più cruciale che mai. I team di sicurezza necessitano di contenuti di rilevazione curati e strumenti adeguati per rispondere efficacemente all’ambiente di minaccia odierno.
Registrati su SOC Prime Platform per accedere al feed globale delle minacce attive, che offre threat intelligence continua, algoritmi di rilevazione curati e una suite completa di prodotti per Detection Engineering con AI, threat hunting automatizzato e rilevazione avanzata. Tutte le regole sono compatibili con diversi formati SIEM, EDR e Data Lake, e sono mappate sul framework MITRE ATT&CK®. Ogni regola è inoltre arricchita con link CTI, timeline di attacco, configurazioni di audit, raccomandazioni per il triage e ulteriore contesto operativo. Clicca su Esplora Rilevazioni per visualizzare lo stack completo di rilevazione focalizzato sulle vulnerabilità critiche tramite filtro “CVE”.
I security engineer possono anche sfruttare Uncoder AI, un’IA privata e agentless progettata per il Threat‑Informed Detection Engineering. Con Uncoder, gli operatori possono convertire automaticamente IOCs in query di threat hunting, generare regole di rilevazione da report raw, abilitare previsioni di tag ATT&CK, ottimizzare query grazie all’IA e tradurre contenuti di rilevazione su più piattaforme.
Analisi di CVE‑2025‑25257
Secondo l’advisory di Fortinet, la vulnerabilità CVE‑2025‑25257 deriva dall’insufficiente neutralizzazione di caratteri speciali nelle istruzioni SQL. Ciò consente a un attaccante non autenticato di eseguire comandi SQL arbitrari tramite richieste HTTP/HTTPS manipolate. Un’analisi recente di watchTowr Labs individua la funzione `get_fabric_user_by_token` come causa principale: parte del componente Fabric Connector che collega FortiWeb agli altri prodotti Fortinet.
Il problema si verifica perché input controllati dall’attaccante vengono inseriti direttamente in query SQL senza sanitizzazione. Ciò permette l’iniezione e l’esecuzione di codice SQL malevolo. Inoltre, l’exploit può evolvere in esecuzione di codice remoto sfruttando un `SELECT … INTO OUTFILE` per scrivere un payload sul filesystem. Poiché la query SQL viene eseguita con l’utente “mysql”, l’attaccante può depositare file sul sistema operativo e potenzialmente eseguirli via Python.
Fortinet specifica che diverse versioni di FortiWeb sono vulnerabili a CVE‑2025‑25257, e consiglia fortemente di applicare gli aggiornamenti il prima possibile. Le versioni interessate sono: 7.6.0–7.6.3 → **aggiornare alla 7.6.4 o successiva** 7.4.0–7.4.7 → **aggiornare alla 7.4.8 o successiva** 7.2.0–7.2.10 → **aggiornare alla 7.2.11 o successiva** 7.0.0–7.0.10 → **aggiornare alla 7.0.11 o successiva**
Come misura temporanea, Fortinet raccomanda di **disabilitare l’interfaccia di amministrazione HTTP/HTTPS** fino all’applicazione delle patch.
Per gestire proattivamente una superficie di attacco in crescita, le organizzazioni possono fare affidamento sulla Platform SOC Prime, che offre il più grande marketplace mondiale di regole di rilevazione, automazione di threat hunting e Detection Engineering, threat intelligence nativa IA e ulteriori funzionalità per trasformare il tuo SOC. Sfruttando la suite completa di prodotti SOC Prime, i team di sicurezza possono mitigare in modo efficace i rischi di exploit di vulnerabilità e le minacce emergenti prevedibili.
